Wie sicher sind die Daten in der Schweiz wirklich?

Seit der NSA-Affäre werben Schweizer IT-Unternehmen, dass die Daten bei ihnen besser geschützt sind als anderswo. Doch verschiedene Gesetze werden geändert, gelten die Versprechen trotzdem noch? Wie sicher sind Daten in der Schweiz ist eine Frage, die viele in- und ausländische Unternehmen derzeit bewegtWie sicher sind Daten in der Schweiz ist eine Frage, die viele in- und ausländische Unternehmen derzeit bewegt Der Autor ist Gründer und CEO von Netstream. Das Unternehmen bietet Dienstleistungen in den Bereichen Internet, Telefonie, Hosting, Security, Streaming und Wholesale. «Die zentrale Frage lautet: Wo liegen die Daten und wo stehen die Server?» Alexis Caceda Nicht erst seit den Enthüllungen rund um die Aktivitäten der NSA wird auch bei uns diskutiert, wie sicher Daten in der Schweiz sind. Die Ankündigung der Totalrevision des Bundesgesetzes betreffend der Überwachung des Post- und Fern­meldeverkehrs und der kürzlich erschienene Schlussbericht der Arbeitsgruppe zum Urheberrecht haben die Fragen rund um den Schweizer Datenschutz wieder lauter werden lassen. Tatsache ist, dass sich mit der starken Verbreitung mobiler Geräte und der Entwicklung der Telekommunikationstechnologien das Kom­munikationsverhalten und die Internetnutzung stark verändert haben. Wir kaufen online Lebensmittel ein, recherchieren Informationen und zahlen Rechnungen mittels E-Banking. Die private wie auch geschäftliche Kommunikation findet immer mehr mittels Smartphone, E-Mail, Video oder VoIP statt. Dabei hinterlassen wir überall – unwissentlich oder wissentlich – elektronische Spuren und Daten. Auch andere Dienstleistungen wie Internet­anbindungen, E-Mail, Telefonie oder Internet-TV haben zugenommen. Aber nur ein Teil dieser Anbieter verfügt über ein eigenes Rechenzentren auf Schweizer Hoheitsgebiet. Letzteres ist für Sicherheit, Verfügbarkeit und Datenschutz wichtig. Viele Geschäfts- und Privatkunden machen sich nicht bewusst, dass ihre Daten bei der Nutzung von Cloud-Diensten oft auf Servern ausserhalb der Schweiz liegen und somit vor dem Zugriff von ausländischen Behörden unzureichend geschützt sind. Standort als Sicherheitskriterium Eine zentrale Frage punkto Datensicherheit lautet: Wo liegen die Daten? Mit anderen Worten, wo steht der Server, auf dem vertrauliche Geschäftsdokumente, der E-Mail-Verkehr oder die private Fotosammlung ausgelagert sind? Dieser Standort legt primär fest, welche Rechtsordnung im Umgang mit den Daten gilt. Nutzt man die Dienstleistungen eines Anbieters, dessen Server im Ausland stehen, gelten die Datenschutzbestimmungen des entsprechenden Landes. Diese Bestimmungen und vor allem die Zugriffs- und Auskunftsrechte seitens der Behörden unterscheiden sich zum Teil gravierend vom hierzulande geltenden Recht. So können zum Beispiel US-Sicherheits­behörden auf Basis des «Patriot Act» private Daten von US-Cloud-Anbietern anfordern – wie auch von Firmen, deren Rechenzentren in den USA stehen. Darüber hinaus können die Ermittler sogar von Anbietern wie Google oder Amazon verlangen, dass sie Daten, die beispielsweise auf europäischen Servern lagern, firmenintern in die USA verschieben müssen – und dort gilt dann wiederum US-Recht. Bei der Wahl des Dienstleistungsanbieters spielt also auch der Geschäftssitz eine wichtige Rolle.
Schweizer Recht im Wandel Zwar gibt es in der Schweiz heute schon nach geltendem Recht Möglichkeiten, den Fernmeldeverkehr zu überwachen. Mit dem zurzeit in der Diskussion stehenden neuen Post- und Fernmeldeüberwachungsgesetz (BÜPF) würden die Kompetenzen des Staates zusätzlich ausgeweitet. So soll das BÜPF den Einsatz von Staats- oder Bundes­trojanern auf Computern und Smartphones ermög­lichen, um E-Mails, Telefongespräche und Datenverkehr zu überwachen. Im Vergleich zu anderen Ländern muss aber ein dringender Tatverdacht bestehen und alle anderen Untersuchungshandlungen erfolglos gewesen sein, bevor das BÜPF zur Anwendung kommt. Es ist nachzuvollziehen, dass die Strafver­folgungsbehörden mit dem technischen Fortschritt mithalten können müssen, um auf neue Formen der Kriminalität reagieren zu können. Ein wirtschaftlich bedenklicher Punkt des BÜPF ist aber, dass die betroffenen Unternehmen (Anbieter von Post- und Fernmeldediensten sowie Access-, Mail- und Hosting-Provider, Betreiber von Chat-Foren und Sharing-Plattformen) vom Staat zur Datenarchivierung über neu 12 Monate aufgefordert werden und die zusätz­lichen Kosten hierfür selbst tragen müssen. Sie werden daher aus ökonomischen Gründen gezwungen sein, diese über kurz oder lang auf die Konsumenten abzuwälzen. Überwachungspflicht für Provider Auch in einem weiteren Bereich sollen Access- und Hosting-Provider in die Pflicht genommen werden und aufwendige Überwachungs- und Durchsetzungsfunktionen wahrnehmen. Im Auftrag des Bundesrats wurden Massnahmen für eine bessere Durchsetzung des Urheberrechts geprüft. Würde den Empfehlungen der Arbeitsgruppe zum Urheberrecht (Agur12) gefolgt, so sind zukünftig repressive Massnahmen wie Netzsperren, Selbstjustiz durch die Verwertungsgesellschaften sowie die vollständige Überwachung des Internets möglich. Den Providern würden zahlreiche Pflichten auferlegt, die das Fernmeldegeheimnis im privatrecht­lichen Bereich durchbrechen. Ausserdem würde der ordentliche Rechtsweg über ein Strafverfahren umgangen werden und private Unternehmen könnten Rechtsansprüche eigenständig durchsetzen. All dies, obwohl der Schweizer Rechtsstaat heute bereits straf- und zivilrechtliches Vorgehen gegen Urheberrechtsverletzungen ermöglicht. Wie auch beim BÜPF gilt, dass kriminelle Handlungen nicht durch die tech­nologischen Möglichkeiten unterstützt werden dürfen. Eine Verfolgung von Straftätern sollte aber auf rechtsstaatlichem Wege erfolgen und nicht pauschal die Privatsphäre und den Datenschutz aller beeinträchtigen.
Zwar gibt es in der Schweiz heute schon nach geltendem Recht Möglichkeiten, den Fernmeldeverkehr zu überwachen. Mit dem zurzeit in der Diskussion stehenden neuen Post- und Fernmeldeüberwachungsgesetz (BÜPF) würden die Kompetenzen des Staates zusätzlich ausgeweitet. So soll das BÜPF den Einsatz von Staats- oder Bundes­trojanern auf Computern und Smartphones ermög­lichen, um E-Mails, Telefongespräche und Datenverkehr zu überwachen. Im Vergleich zu anderen Ländern muss aber ein dringender Tatverdacht bestehen und alle anderen Untersuchungshandlungen erfolglos gewesen sein, bevor das BÜPF zur Anwendung kommt. Es ist nachzuvollziehen, dass die Strafver­folgungsbehörden mit dem technischen Fortschritt mithalten können müssen, um auf neue Formen der Kriminalität reagieren zu können. Ein wirtschaftlich bedenklicher Punkt des BÜPF ist aber, dass die betroffenen Unternehmen (Anbieter von Post- und Fernmeldediensten sowie Access-, Mail- und Hosting-Provider, Betreiber von Chat-Foren und Sharing-Plattformen) vom Staat zur Datenarchivierung über neu 12 Monate aufgefordert werden und die zusätz­lichen Kosten hierfür selbst tragen müssen. Sie werden daher aus ökonomischen Gründen gezwungen sein, diese über kurz oder lang auf die Konsumenten abzuwälzen. Überwachungspflicht für Provider Auch in einem weiteren Bereich sollen Access- und Hosting-Provider in die Pflicht genommen werden und aufwendige Überwachungs- und Durchsetzungsfunktionen wahrnehmen. Im Auftrag des Bundesrats wurden Massnahmen für eine bessere Durchsetzung des Urheberrechts geprüft. Würde den Empfehlungen der Arbeitsgruppe zum Urheberrecht (Agur12) gefolgt, so sind zukünftig repressive Massnahmen wie Netzsperren, Selbstjustiz durch die Verwertungsgesellschaften sowie die vollständige Überwachung des Internets möglich. Den Providern würden zahlreiche Pflichten auferlegt, die das Fernmeldegeheimnis im privatrecht­lichen Bereich durchbrechen. Ausserdem würde der ordentliche Rechtsweg über ein Strafverfahren umgangen werden und private Unternehmen könnten Rechtsansprüche eigenständig durchsetzen. All dies, obwohl der Schweizer Rechtsstaat heute bereits straf- und zivilrechtliches Vorgehen gegen Urheberrechtsverletzungen ermöglicht. Wie auch beim BÜPF gilt, dass kriminelle Handlungen nicht durch die tech­nologischen Möglichkeiten unterstützt werden dürfen. Eine Verfolgung von Straftätern sollte aber auf rechtsstaatlichem Wege erfolgen und nicht pauschal die Privatsphäre und den Datenschutz aller beeinträchtigen. Auf europäischer Ebene wird seit letztem Jahr die Überarbeitung der Datenschutzverordnung vorbereitet, die sich unter anderem mit dem kommerziellen Sammeln von Daten beschäftigt. Die neue Verordnung wird auch Auswir­kungen auf die Schweiz und die Revision des zwanzigjährigen Datenschutzgesetzes haben. Allfällige Neuerungen werden sich dann nicht nur auf die IT-Branche auswirken. Social-Media-Plattformen, Suchmaschinen, Detailhändler, Banken, Versicherungen oder Pharmaindustrie – sie alle brauchen für ihren Businessplan Konsumentendaten. Dass das Sammeln von Daten ein lohnenswertes Geschäftsfeld ist, zeigt eine Studie der Boston Consulting Group. Allein in Europa wird 2020 der Handelswert persönlicher Daten rund 330 Milliarden Euro betragen. Mittels Data Mining professionell ausgewertet, ergeben sich aus den gewonnenen Konsumentenprofilen wiederum gewinnbringende Geschäftsmöglichkeiten. Allerdings kann es rechtlich problematisch werden, wenn intern erhobene Daten mit externen Informationen kombiniert werden. Datensicherheit bleibt hoch Die Diskussion rund um das Thema Daten ist vielschichtig. Datensammlung, Datenspeicherung, Kommerzialisierung, Verbrechens­bekämpfung, Datenschutz und Privatsphäre – eine Vielzahl verschiedener Interessen treffen hier aufeinander. Seitens der Gesetzgebung besteht Handlungsbedarf, da die bestehenden Gesetze den heutigen Gegebenheiten nicht mehr Rechnung tragen – weder für Unternehmen noch für Privatpersonen. Aber auch wenn sich die Schweizer Rechtsgrundlage in der nächsten Zeit verändern sollte, als Standort für die Sicherung von Daten und die damit verbundenen Dienstleistungen bleiben Schweizer Anbieter im internationalen Vergleich auf jeden Fall weiterhin attraktiv. Denn die Grundlagen für die Informations­sicherheit, sprich Vertraulichkeit, Verfügbarkeit und Rechtssicherheit, werden auch weiterhin gegeben sein. Die Schweiz bietet optimale Bedingungen für die externe Speicherung von Daten – sowohl von Privaten als auch Unternehmen oder Behörden. Die politische Lage ist stabil, die Rechtsprechung seriös und die Stromsicherheit ist jederzeit gewährleistet. Ausserdem garantiert die grosse Anzahl an Fachleuten vor Ort einen optimalen Service.